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(57) Abstract 

The invention relates to an encoding method according to which a partial cryptographic operation is carried out by data which are 
digitally stored as at least one data bit word in a memory cell (1) or a register. To provide such a system which effectively prevents 
successful cryptanalysis by observation of a current consumption of a data processing unit, the invention provides for a data bit word 
generated on the basis of random numbers to be stored in a memory cell (10) before a data bit word is written into same. 

(57) Zusammenfassung 

Um ein Verschlusselungsverfahren, bei dem eine kryptographische Teiloperation von digital als wenigstens ein Datenbitwort in 
einer Speicherzelle (10) bzw. einem Register gespeicherten Daten ausgefuhrt wird, zur Verfugung zu stellen, welches eine erfolgreiche 
Kryptoanalyse mittels Beobachtung eines Stromverbrauches eines Datenverarbeitungsgerates wirksam verhindert, wird vorgeschlagen, dass 
vor dem Schreiben eines Datenbitwortes in eine Speicherzelle (10) in dieser ein Datenbitwort gespeichert wird, welches auf Zufallszahlen 
basierend erzeugt wird. 
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Technisches Gebiet _ 

Die Erfindung betrifft ein Verschlusselungsverfahren, wobei wenigstens eine 
kryptographische Teiloperation von digital als wenigstens ein Datenbitwort in einer 
Speicherzelle bzw. einem Register gespeicherten Daten ausgefuhrt wird, gemafi dem 
5 Oberbegriff des Anspruchs 1. 

Stand der Technik 

In vielen Datenverarbeitungsgeraten dienen kryptographische Operationen zum 
Schutz des Betriebes dieser Gerate bzw. zum Schutz von in dem Gerat transportierte Daten. 

10 Die hierfiir notwendigen Berechnungsoperationen werden dabei sowohl von Standard- 

Rechenwerken als auch von dedizierten Crypto-Rechenwerken durchgefiihrt. Ein typisches 
Beispiel ftir letzteres sind Chipkarten bzw. IC-Karten. Bei derartigen kryptographischen 
Berechnungen ist es oftmals notwendig, entsprechende Speicherbereiche bzw. Register des 
Datenverarbeitungsgerates mit Operanden zu initialisieren. Bei den in diesem Zusammenhang 

15 verwendeten Daten bzw. Zwischenergebnissen handelt es sich ublicherweise um 

sicherheitsrelevante Informationen, wie beispielsweise kryptographische Schlussel oder 
Operanden. 

Zur Berechnung der kryptographischen Algorithmen werden in den Daten- 
verarbeitungsgeraten logische Verkniipfungen zwischen Operanden bzw. 

20 Zwischenergebnissen durchgefiihrt. In Abhangigkeit von der verwendeten Technologie fiihren 
diese Operationen, insbesondere das Laden von leeren oder zuvor geloschten 
Speicherbereichen bzw. Register mit Daten, zu einem erhohten Stromverbrauch der 
Datenverarbeitungsgerate. Bei komplementarer Logik, wie beispielsweise der CMOS- 
Technik, tritt ein erhohter Stromverbrauch dann auf, wenn der Wert einer Bit-Speicherzelle 

25 geandert wird, d.h. sein Wert sich von "0" auf "1" bzw. von "1" auf "0" andert. Der erhohte 

Verbrauch hangt dabei von der Anzahl der im Speicher bzw. Register geanderten Bitstellen ab. 
Mit anderen Worten lasst das Laden eines zuvor geloschten Registers einen Stromverbrauch 
proportional zum Hamminggewicht des in das leere Register geschriebenen Operanden 
(=Anzahl der Bits mit dem Wert "1") ansteigen. Durch eine entsprechende Analyse dieser 
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Stromanderung konnte es moglich sein, Infonnationen iiber die berechneten Operationen zu 
extrahieren, so dass eine erfolgreiche Kryptoanalyse .von gefoeimen Operanden, wie 
beispielsweise kryptographischen Schliisseln, moglich ist. Mittels Durchfuhfung mehrerer 
Strommessungen am Datenverarbeitungsgerat konnten beispielsweise bei sehr kleinen 
5 Signalanderungen eine hinreichende Extraktion der Informationen ermoglicht werden. 
Andererseits konnten mehrere Strommessungen eine ggf. erforderliche Differenzbildung_ 
ermoglichen. Diese Art der Kryptoanalyse wird auch als "Differential Power Analysis" 
bezeichnet, mittels derer ein AuBenstehender durch reine Beobachtung von Anderungen des 
Stromverbrauches des Datenverarbeitungsgerates eine ggf. unberechtigte Kryptoanalyse der 
10 kryptographischen Operationen, Algorithmen, Operanden bzw. Daten erfolgreich ausfuhren 
kann. 



Bei einer aus der EP 0 482 975 B i bekannten Speicherkarte mit Mikroschaltung 
15 und wenigstens einem Speicher, die an einem Daten verarbeitungsorgan angeschlossen ist, 

wobei das Datenverarbeitungsorgan von einem Datensignal von auBerhalb der Karte gesteuert 
wird und als Antwort auf dieses Datensignal zu einem Zeitpunkt ein Befehlsendesignal abgibt, 
welches um eine vorbestimmte Dauer (T) bzgL des Empfangs des Datensignals verzogert ist, 
wird zum Erhohen des Schutzes die Zeitdauer (T) auf Zufallsbasis zeitlich variabel gewahlt. 
20 Eine Kryptoanalyse auf der Basis einer Stromanderung beim Beschreiben des Speichers kann 
dieses System jedoch nicht verhindern. 



Darstellung der Erfindung, Aufgabe, Losung, Vorteile 

Es ist Aufgabe der vorliegenden Erfindung, ein verbessertes Verfahren der 
25 obengenannten Art zur Verfiigung zu stellen, welches die obengenannten Nachteile beseitigen 
und eine erfolgreiche Kryptoanalyse mittels Beobachtung eines Stromverbrauches eines 
Datenverarbeitungsgerates wirksam verhindert. 

Diese Aufgabe wird durch ein Verfahren der o.g. Art mit den in Anspruch 1 
gekennzeichneten Merkmalen gelost. 
30 Dazu ist es erfindungsgemaB vorgesehen, dass vor dem Schreiben eines 

Datenbitwortes in eine Speicherzelle in dieser ein Datenbitwort gespeichert wird, welches auf 
Zufallszahlen basierend erzeugt wird. 

Dies hat den Vorteil, dass eine nicht vorbestimmte oder vorbestimmbare 
Vorinitialisierung vorliegt, welche aus Anderungen des Stromverbrauches beim Schreiben in 
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die Speicherzelle keinen RiickschluB auf das in die Speicherzelle geschriebene Datenbitwort 
zulasst. Beim Einschreiben von Daten in derartig vorinitialisierte Speicherzellen andert sich 
der Stromverbrauch lediglich abhangig von einer Differenz des Hamminggewichtes der 
eingeschriebenen Daten von der unbekannten Zufallszahl, so daB auch diese Differenz und 
5 damit die Anderung des Stromverbrauches zufallig und nicht vorherbestimmbar ist. 

Bei der Umsetzung des Verfahrens bestehen verschiedene Moglichkeiten^Nach 
einer bevorzugten Vorgehensweise wird das auf Zufallszahlen basierende Bitwort von einem 
Rechenwerk in die Speicherzelle geschrieben. Alternativ wird das auf Zufallszahlen 
basierende Bitwort iiber eine direkte Verbindung zwischen einer Zufallszahlenquelle und der 
10 Speicherzelle in letztere geschrieben. 

Eine zeitliche Korrelation zwischen dem Einschreiben der Zufallszahl in eine 
Speicherzelle und der kryptographische Teiloperation wird dadurch vermieden, dass das auf 
Zufallszahlen basierende Bitwort zeitlich beabstandet vor der kryptographische Teiloperation 
in der Speicherzelle gespeichert wird. 

15 

Kurze Beschreibung der Zeichnungen 

Nachstehend wird die Erfindung anhand der beigefiigten Zeichnungen naher 
erlautert. Diese zeigt in der einzigen Fig. ein Ablaufschema einer bevorzugten 
Ausfiihrungsform eines erfindungsgemaBen Verfahrens. 

20 

Bester Weg zur Ausfuhrung der Erfindung 

Wie in der einzigen Fig. veranschaulicht, ist eine Speicherzelle 10 bzw. ein 
Register zum Einschreiben bzw. Abspeichern von Daten Xi in Form eines Datenbitwortes liber 
eine Verbindung 1 1 vorgesehen. Bevor jedoch der Operand Xi in die Speicherzelle 10 

25 eingeschrieben wird, werden von einer Zufallszahlenquelle 12 Zufallszahlen erzeugt und iiber 
eine direkte Verbindung 14 in die Speicherzelle 10 eingeschrieben bzw. in dieser ab- 
gespeichert. Mit anderen Worten wird die Speicherzelle 10 mit einem Zufallswert rj 
initialisiert. Alternativ zu der dargestellten Ausfiihrungsform kann das Einschreiben des 
Zufallswertes n auch iiber die Verbindung 1 1 von einem Rechenwerk erfolgen, welches zuvor 

30 den Zufallswert von der Zufallszahlenquelle 12 erhalten hat. 

Der Zeitpunkt dieser Vorinitialisierung ist beliebig wahlbar und erfolgt be- 
vorzugt nicht unmittelbar vor der kryptographischen Operation. ZweckmaBigerweise erfolgt 
eine wiederholte Vorinitialisierung der Speicherbereich bzw. Register mit sich andernden 
Zufallszahlen. 
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Werden die so vorinitialisierten Speicherbereiche bzw. Register im Zuge einer 
kryptographischen Operation mit Daten Xi geladen, andert sich der Stromverbrauch nun 
lediglich abhangig von einer Differenz des Hamminggewichtes des Operanden Xj und des 
Hamminggewichtes der unbekannten Zufallszahl. Ausgehend von diesem zufalligen 
Differenzwert ist es nun nicht moglich, Angaben iiber die verwendeten Operanden bzw. Zwi- 
schenergebnisse abzuleiten. _ 



WO 00/19657 PCT/EP99/07019 
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PATENTANSPRUCHE: 



1. Verschliisselungsverfahren, wobei wenigstens eine kryptographische Teil- 
operation von digital als wenigstens ein Datenbitwort in einer Speicherzelle (10 )bzw. einem 
Register gespeicherten Daten ausgefiihrt wird, 

dadurch gekennzeichnet, dass 

vor dem Schreiben eines Datenbitwortes in eine Speicherzelle (10) in dieser ein 
Datenbitwort gespeichert wird, welches auf Zufallszahlen basierend erzeugt wird. 

2. Verschliisselungsverfahren nach Anspruch 1, 
dadurch gekennzeichnet, dass 

das auf Zufallszahlen basierende Bitwort von einem Rechenwerk in die 
Speicherzelle (10) geschrieben wird. 

3. Verschliisselungsverfahren nach Anspruch 1, 
dadurch gekennzeichnet, dass 

das auf Zufallszahlen basierende Bitwort iiber eine direkte Verbindung 
zwischen einer Zufallszahlenquelle (12) und der Speicherzelle (10) in letztere geschrieben 
wird. 



4. Verschliisselungsverfahren nach einem der vorhergehenden Anspriiche, 

dadurch gekennzeichnet, dass 

das auf Zufallszahlen basierende Bitwort zeitlich beabstandet vor der 
kryptographische Teiloperation in der Speicherzelle (10) gespeichert wird. 
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International application No. 
PCT/EP99/07019 



To: 



Assistant Commissioner for Patents 
United States Patent and Trademark 

office RECEIVEd) 

Box PCT 

Washington, D.C.20231 NOV 2 Oflffl 

ETATS-UNIS D'AMERIQUE 



Technology Center 

in its capacity as designated Office 



!100 



International filing date (day/month/year) 

20 September 1999 (20.09.99) 



Applicant 

KONINKLIJKE PHILIPS ELECTRONICS N.V. et al 



The International Bureau transmits herewith the following documents and number thereof: 
cop(ies) of priority document(s) {Rule 17.2(a)) 





The International Bureau of WIPO 
34, chemin des Colombettes 
1211 Geneva 20, Switzerland 

Facsimile No.: (41-22) 740.14.35 


Authorized officer 

R. Chrem 
Telephone No.: (41-22) 338.83.38 



Form PCT/IB/310 (July 1992) 
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Copy for the desig nated Office (DOL _US) ^ 
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PCT/EP99/07019 



From the INTERNATIONAL BUREAU 



PCT 

NOTIFICATION CONCERNING 
SURMI^ION OR TRAN^MITTAI 
OF PRIORITY DOCUMENT 

(PCT Administrative Instructions, Section 411) 


To: 

DCTCDC Porl U 

rt 1 tnO/ uan, n. 

Internationaal Octrooibureau 6.V. 
Prof. Holstlaan 6 
NL-5656 AA Eindhoven 
PAYS-BAS 


Date of mailing (day/month/year) 

25 September 2000 (25.09.00) 




Applicant's or agent's file reference 
PHD99.100WO 


IMPORTANT NOTIFICATION 


International application No. 
PCT/EP99/07019 


International filing date (day/month/year) 

20 September 1999 (20.09.99) 


International publication date (day/month/year) 
06 April 2000 (06.04.00) 


Priority date (day/month/year) 

30 September 1998 (30.09.98) 


Applicant 

KONINKLIJKE PHILIPS ELECTRONICS N.V. et al 



1. The applicant is hereby notified of the date of receipt (except where the letters "NR" appear in the right-hand column) by the 
International Bureau of the priority document(s) relating to the earlier application(s) indicated below. Unless otherwise 
indicated by an asterisk appearing next to a date of receipt or by the letters "NR", in the right-hand column, the priority 
document concerned was submitted or transmitted to the International Bureau in compliance with Rule 17.1(a) or (b). 

2. This updates and replaces any previously issued notification concerning submission or transmittal of priority documents. 

3. An asterisk^*) appearing next to a date of receipt in the right-hand column, denotes a priority document submitted 
or transmitted to the International Bureau but not in compliance with Rule 17.1 (a) or (b). In such a case, the attention 
of the applicant is directed to Rule 17.1 (c) which provides that no designated Office may disregard the priority claim 
concerned before giving the applicant an opportunity, upon entry into the national phase, to furnish the priority document 
within a time limit which is reasonable under the circumstances. 

4. The letters "NR* appearing in the right-hand column denote a priority document which was not received by the International 
Bureau or which the applicant did not request the receiving Office to prepare and transmit to the International Bureau, 

as provided by Rule 17.1(a) or (b), respectively. In such a case, the attention of the applicant is directed to Rule 17.1(c) which 
provides that no designated Office may disregard the priority claim concerned before giving the applicant an opportunity, 
upon entry into the national phase, to furnish the priority document within a time limit which is reasonable under the 
circumstances. 



Priority date 

30 Sept 1998 (30.09.98) 
05 Augu 1999 (05.08.99) 



Priority application No. 

198 45 096.6 

199 36 890.2 



Country or regional Qffice 
or PCT receiyinq Office 

DE 
DE 



Date of receipt 
of priority doqument 

19 Sept 2000(19.09.00)^ 
23 Nove 1999 (23.11.99) 





Authorized officer 




The International Bureau of W1PO 




34, chemin des Colombettes 


R. Chrem 




121 1 Geneva 20, Switzerland 




Facsimile No. (41-22) 740.14.35 


Telephone No. (41-22) 338.83.38 




Form PCT/IB/304 (July 1998) 




003544569 



THIS PAGE BLANK (uspto) 



H 



VERTRAG 



R DIE INTERNATIONALE ZUSAWENARBEIT 
DEM GEBIET DES PATENTWESENS 



PCT 

INTERNATIONALER RECHERCHENBERICHT 

(Artikel 18 sowie Regeln 43 und 44 PCT) 



Aktenzeichen des Anmelders Oder Anwalts 

PHD 99.100WO 


WEITERES siehe Mitteilung uber die Ubermittlung des internationalen 

Recherchenberichts (Formblatt PCT/ISA/220) sowie. soweit 
VORGEHEN zutreffend, nachstehender Punkt 5 


Internationales Aktenzeichen 

PCT/EP 99/07019 


Internationales Anmeldedatum 
(Tag/Monat/Jahr) 

20/09/1999 


(Fruhestes) Prioritatsdatum (Tag/Monat/Jahr) 

30/09/1998 


Anmelder 

KONINKLIJKE PHILIPS ELECTRONICS N.V. et al . 



Dieser internationale Recherchenbericht wurde von der Internationalen Recti erch en be horde erstellt und wird dem Anmelder gemaB 
Artikel 18 ubermittelt. Eine Kopie wird dem Internationalen Buro ubermittelt. 

Dieser internationale Recherchenbericht umfaGt insgesamt _2 Blatter. 

[X] Daruber hinaus liegt ihm jeweils eine Kopie der in diesem Bericht genannten Untertagen zum Stand der Technik bei. 



1 . Grundlage des Berlchts 

a. Hinsichtlich der Sprache ist die internationale Recherche auf der Grundlage der internationalen Anmeldung in der Sprache 
durchgefuhrt worden, in der sie eingereicht wurde, sofern unter diesem Punkt nichts anderes angegeben ist. 

| | Die internationale Recherche ist auf der Grundlage einer bei der Behorde eingereichten Obersetzung der internationalen 
Anmeldung (Regel 23.1 b)) durchgefuhrt worden. 

b. Hinsichtlich der in der internationalen Anmeldung offenbarten Nucleotld- und/oder Aminosauresequenz ist die internationale 
Recherche auf der Grundlage des Sequenzprotokolls durchgefuhrt worden, das 

| | in der internationalen Anmeldung in Schriflicher Form enthalten ist. 

| | zusammen mit der internationalen Anmeldung in compute rles barer Form eingereicht worden ist. 

| | bei der Behorde nachtraglich in schriftlicher Form eingereicht worden ist. 

| | bei der Behorde nachtraglich in computerlesbarer Form eingereicht worden ist. 

| | Die Erklarung, daG das nachtraglich eingereichte schriftliche Sequenzprotokoll nicht uber den Offenbarungsgehalt der 
internationalen Anmeldung im Anmeldezeitpunkt hinausgeht, wurde vorgelegt. 

| | Die Erklarung, daB die in computerlesbarer Form erfaBten Informationen dem schriftlichen Sequenzprotokoll entsprechen, 
wurde vorgelegt. 

| j Bestimmte Anspriiche haben slch als nicht recherchterbar erwlesen (siehe Feld I). 
| | Mangelnde Elnheltllchkelt der Erfindung (siehe Feld II). 



2. 

3. 

4. 



Hinsichtlich der Bezelchnung der Erfindung 

|~X~| wird der vom Anmelder eingereichte Wortlaut genehmigt. 
| | wurde der Wortlaut von der Behorde wie folgt festgesetzt: 



Hinsichtlich der Zusammenfassung 

wird der vom Anmelder eingereichte Wortlaut genehmigt. 

wurde der Wortlaut nach Regel 38.2b) in der in Feld III angegebenen Fassung von der Behorde festgesetzt. Der 
| | Anmelder kann der Behorde innerhalb eines Monats nach dem Datum der Absendung dieses internationalen 
Recherchenberichts eine Stellungnahme vorlegen. 

Folgende Abbildung der Zelchnungen ist mit der Zusammenfassung zu veroffentlichen: Abb. Nr. ] 



| | wie vom Anmelder vorgeschlagen [^] keine der Abb. 

[X] weil der Anmelder selbst keine Abbildung vorgeschlagen hat. 
| | weil diese Abbildung die Erfindung besser kennzeichnet. 
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INTERNATIONALER ELECHERCHENBERICHT 



pWef 



nales Aktenzeichen 

PCT7EP 99/07019 



A. KLASSIFIZIERUNG DES ANMELDUNGSGEGENSTANDES 

IPK 7 H04L9/06 G06F1/00 



Nach der Internationalen Patentktassifikation (IPK) oder nach der nationalen Klassifikation und der IPK 



B. RECHERCHIERTE GEBIETE 



Recherchrerter Mindestpriifstoff (Klassifikationssystem und Klassifikationssymbole ) 

IPK 7 H04L G06F 



Recherchierte aber nicht zum Mindestpriifstoff gehorende Veroffentlichungen, soweit diese unter die recherchierten Gebiete fallen 



Wahrend der internationalen Recherche konsultierte elektronische Datenbank (Name der Datenbank und evtl. verwendete Suchbegriffe) 



C. ALS WESENTLICH ANGESEHENE UNTERLAGEN 



Kategorie* Bezeichnung der Veroffentlichung. soweit erforderiich unter Angabe der in Betracht kommenden Telle 



Betr. Anspruch Nr. 



EP 0 002 388 A (IBM) 

13. Juni 1979 (1979-06-13) 

Zusammenf assung 

Seite 34, letzter Absatz -Seite 35, Absatz 
2 

Seite 78, letzter Absatz -Seite 79, Zeile 
2 

PATENT ABSTRACTS OF JAPAN 
vol. 014, no. 089 (E-0891), 
19. Februar 1990 (1990-02-19) 
& JP 01 298829 A (NEC CORP), 
1. Dezember 1989 (1989-12-01) 
Zusammenf assung 



1-3 



□ 



Weitere Veroffentlichungen sind der Fortsetzung von Feld C zu 
entnehmen 



Siehe Anhang Patentfamilie 



° Besondere Kategorien von angegebenen Veroffentlichungen 
"A" Veroffentlichung, die den allgemeinen Stand der Technik definiert, 
aber nicht als besonders bedeutsam anzusehen ist 

"E" alteres Dokument, das jedoch erst am oder nach dem internationalen 
Anmeldedatum veroffentlicht worden ist 

"L" Veroffentlichung, die geeignet ist, einen Prioritatsanspruch zweifelhaft er- 
scheinen zu lassen, oder durch die das Verdffentlichungsdatum einer 
anderen im Recherchenbericht genannten Veroffentlichung belegt werden 
soli oder die aus einem anderen besonderen Grund angegeben ist (wie 
ausgefuhrt) 

"O" Veroffentlichung, die sich auf eine miindliche Offenbarung, 

eine Benutzung, eine Ausstellung oder andere Maf3nahmen bezieht 

"P" Veroffentlichung, die vor dem internationalen Anmeldedatum. aber nach 
dem beanspruchten Prioritatsdatum veroffentlicht worden ist 



"T" Spatere Veroffentlichung, die nach dem internationalen Anmeldedatum 
oder dem Prioritatsdatum veroffentlicht worden ist und mit der 
Anmeldung nicht kollidiert, sondern nur zum Verstandnis des der 
Erfindung zugrundeliegenden Prinzipsoder der ihr zugrundeliegenden 
Theorie angegeben ist 

"X" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann allein aufgrund dieser Veroffentlichung nicht als neu oder auf 
erfinderischer Tatigkeit beruhend betrachtet werden 

"Y" Veroffentlichung von besonderer Bedeutung; die beanspruchte Erfindung 
kann nicht als auf erfinderischer Tatigkeit beruhend betrachtet 
werden, wenn die Veroffentlichung mit einer oder mehreren anderen 
Veroffentlichungen dieser Kategorie in Verbindung gebracht wird und 
diese Verbindung fur einen Fachmann naheliegend ist 
Veroffentlichung, die Mitglied derselben Patentfamilie ist 



Datum des Abschlusses der internationalen Recherche 



20. Januar 2000 



Absendedatum des internationalen Recherchenberichts 



28/01/2000 



Name und Postanschrift der Internationalen Recherchenbehorde 
Europaisches Patentamt. P.B. 5818 Patentlaan 2 
NL - 2280 HV Rijswijk 
Tel. (+31-70) 340-2040. Tx. 31 651 epo nl. 
Fax: (+31-70) 340-3016 



Bevollmachtigter Bediensteter 



Holper, G 
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